SmartHammerG503防火墙原理与配置(6)

　　--------------------------------------------------------------------------------

　　netstation

　　2005-11-17, 00:27

　　网络攻击的特点：

　　在多数的网络攻击中，攻击者都是通过对目标系统进行连续的流量泛洪攻击（Flood）来达到耗尽系统可以资源的目的

　　攻击包隐藏在正常的业务流中很难区分，最典型的如TCP Flood攻击；

　　常见的两种攻击模式：

　　针对服务器的攻击：

　　常用的工具：TCP SYN、Smurf IP、ICMP Flood、Ping of death等，通常的特征是通过伪造源地址向目标服务器发起大量的连接请求，耗尽服务器资源。

　　针对网络设备的攻击：

　　最常见的为DDOS攻击，攻击者占用所有的网络资源，导致整个网络的瘫痪。

　　DOS/DDOS攻击的种类：

　　Smurf attack

　　Land-based attack

　　Ping of death

　　Teardrop attack

　　Jolt2 attack

　　Arp attack

　　winnuke

　　Flood攻击

　　ICMP Flood

　　UDP Flood

　　TCP Flood

　　防DOS攻击配置：

　　SmartHammer(config)# ip defend jolt2

　　SmartHammer(config)# ip defend land-based

　　SmartHammer(config)# ip defend ping-death

　　SmartHammer(config)# ip defend tear-drop

　　SmartHammer(config)# ip defend winnuke

　　SmartHammer(config)# ip defend all 启用所有的防攻击模块

　　注意：缺省已经启用了，不建议自己再做此方面的配置

　　防DDOS攻击－TCP代理：

　　两种TCP代理模式的比较：

　　Intercept模式（默认配置）

　　防火墙和客户端首先建立TCP连接，确认是合法数据连接后再和服务器建立连 接，数据包在传输过程中需要更改TCP序列号；

　　通过牺牲防火墙自身的资源和性能来达到完全保护服务器资源；

　　对于来源不确定或无法通过访问策略来控制的DDOS攻击十分有效

　　Gateway模式

　　利用服务器在维持全连接所耗费的资源小于维护半连接的原理，首先使服务器处于全连接状态

　　对防火墙自身的性能影响比较小，但防御效果不如Intercept模式

　　配置TCP代理：

　　ip service tcp intercept 启用TCP智能代理

　　ip tcp intercept mode （intercept/gateway) 选择模式，默认为intercept模式

　　ip tcp intercept maxincomplete high 3000 半连接高警戒线

　　ip tcp intercept maxincomplete low 2000 半连接低警戒线

　　ip tcp intercept one-minute high 2000 每分钟半连接高警戒线

　　ip tcp intercept one-minute low 1000 每分钟半连接低警戒线

　　ip tcp intercept list 2000 attack 500 TCP代理启用门限，默认值为300

　　access-list 2000 permit tcp any any 对所有的TCP连接进行匹配

　　--------------------------------------------------------------------------------

　　netstation

　　2005-11-17, 00:54

　　当防火墙的HSOS软件因升级失败或者其他原因损坏时，系统将不能正常的启动，会进入CFE模块，提示符为：Harbour> ，当然，在正常时，也可以用“ctrl + B” 进CFE模块，进行其他的操作，比如，清除忘记的密码等；